Negli ultimi anni, il concetto di *ESG* (Environmental, Social, and Governance) ha popolato il panorama aziendale globale. Le aziende sono chiamate non solo a perseguire obiettivi di profitto, ma anche a rispondere alle aspettative dei propri stakeholder in termini di sostenibilità ambientale e responsabilità sociale. Allo stesso tempo con l’evoluzione digitale e l’aumento delle minacce cyber, la sicurezza informatica è diventata una priorità imprescindibile, soprattutto alla luce di normative come la *NIS2* (Direttiva UE 2022/2555), che impone obblighi specifici alle aziende in materia di sicurezza delle reti e dei sistemi informativi.
In questo contesto, l’integrazione dei principi ESG con gli obblighi imposti dalla NIS2 non è solo una questione di conformità normativa, ma anche di responsabilità aziendale a lungo termine.
Ecco i punti fondamentali:
- Sicurezza Informatica e governance
La governance è uno dei pilastri principali del modello ESG e riguarda le pratiche aziendali relative alla gestione, al controllo e alla trasparenza. La Direttiva NIS2 ha un impatto diretto su questo aspetto, in quanto impone alle aziende di adottare misure di sicurezza adeguate per proteggere le proprie infrastrutture critiche e i sistemi informativi.
Non solo! La NIS2 impone alle aziende di adottare non solo misure tecniche ma soprattutto misure organizzative e operative.
Questo significa che non basta solo fare il backup (misura tecnica) ma che occorre necessariamente creare la procedura e le responsabilità che stanno dietro a questa misura. E così per ogni misura che deve essere adottata e/o implementata.
- Responsabilità dei vertici aziendali
Una delle principali implicazioni della NIS2 in relazione alla governance aziendale è l’assegnazione di responsabilità chiare a livello dirigenziale e amministrativo. La NIS2 richiede che i dirigenti siano coinvolti attivamente nella gestione dei rischi informatici, il che significa che la cybersecurity non può più essere considerata una funzione puramente tecnica, ma una questione di governance a livello aziendale.
Questo è in linea con i principi ESG, che richiedono necessariamente la necessità di una leadership responsabile e trasparente. Le aziende che adottano pratiche ESG devono garantire che i loro consigli di amministrazione siano informati riguardo ai rischi informatici e che la sicurezza digitale sia integrata nelle strategie aziendali. In altre parole, la gestione della sicurezza informatica deve essere un elemento centrale nella governance aziendale, in quanto la protezione dei dati e dei sistemi è essenziale per mantenere la fiducia degli stakeholder, inclusi clienti, investitori e autorità di regolamentazione.
È sempre più evidente come non si possano più tollerare vertici aziendali non consapevoli e non formati che individuino capri espiatori a cui scaricare in toto tutte le responsabilità ma occorre, anche in un’ottica ESG, una reale e fattiva partecipazione della leadership aziendale in tutti i processi aziendali.
Avv. Clementina Baroni
Commenti recenti